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PROCEDE DE SECURISATION D'UN ENSEMBLE ELECTRONIQUE 

DE CRYPTOGRAPHDE A BASE D'EXPONENTIATION MODULAIRE 

CONTRE LES ATTAQUES PAR ANALYSE PHYSIQUE 

i 

5 La presente invention conceme un procede de securisation d'un ensemble electronique 
mettant en oeuvre un algorithme faisant intervenir une exponentiation modulaire, dans 
laquelle Fexposant est secret. Plus precisement, le procede vise a realiser une version 
d'un tel algorithme qui ne soit pas vulnerable face a un certain type d'attaques 
physiques - dites « analyse d'energie electrique differentielle ou analyse d'energje 
1 0 electrique differentielle de haut niveau » {Differential Power Analysis ou High-Order 
Differential Power Analysis, en langage anglo-saxon, en abrege DPA ou HO-DPA) - 
qui cherchent a obtenir des informations sur la cle secrete a partir de r etude de la 
consommation electrique de r ensemble electronique au cours de r execution du calcul. 

15 Les algorithmes crypt ographiques consideres ici utilisent une cle secrete pour calculer 
une information de sortie en fonction d'une information d'entree ; il peut s'agir d'une 
operation de chiffrement, de dechiffrement ou de signature ou de verification de 
signature, ou d'authentification ou de non-repudiation ou d'echange de cle. lis sont 
construits de maniere a ce qu'un attaquant, connaissant les entrees et les sorties, ne 

20 puisse en pratique deduire aucune information sur la cle secrete elle-meme. 

On s'interesse done a une classe plus large que celle traditionnellement designee par 
r expression algorithmes a cle secrete ou algorithmes symetriques. En particulier, tout 
ce qui est decrit dans la presente dernande de brevet s'applique egalement aux 
25 algorithmes dits a cle publique oil algorithmes asymetriques, qui component en fait 
deux cles : Tune publique, et l'autre, privee, non divulguee, cette derniere etant celle 
visee par les attaques decrites ci-dessous. 

Les attaques de type Analyse de Puissance Electrique, developpees par Paul Kocher et 
30 Cryptographic Research (Confer document Introduction to Differential Power 
Analysis and related Attacks by Paul Kocher, Joshua Jaffe, and Benjamin Jun, 
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Cryptography Research, 870 Market St., Suite 1008, San Francisco, CA 94102, edition 
du document HTML a l'adresse URL : 

http://wwwxryptography.com/dpa/technicallndex.html) partent de la constatation 
qu'en realite Tattaquant peut acquerir des informations, autres que la simple donnee des 
5 entrees et des sorties, lors de Pexecution du calcul, comme par exemple la 
consommation electrique du microcontroleur ou le rayonnement electromagnetique 
emis par le circuit. 

L'analyse d'energie electrique differentiate est une attaque permettant d'obtenir des 
10 informations sur la cle secrete contenue dans 1' ensemble electronique, en effectuant une 
analyse statistique des enregistrements de consommation electrique effectues sur un 
grand nombre de calculs avec cette meme cle. 

Cette attaque ne necessite aucune connaissance sur la consommation electrique 
15 individuelle de chaque instruction, ni sur la position dans le temps de chacune de ces 
instructions. Elle s* applique de la meme maniere si on suppose que Pattaquant connait 
des sorties de ralgorithme et les courbes de consommation correspondantes. Elle 
repose uniquement sur Thypothese fondamentale selon laquelle : 

20 Hypothese fondamentale : II existe une variable intermediate, apparaissant dans le 
cours du calcul de ralgorithme, telle que la connaissance de quelques bits de cle, en 
pratique moins de 32 bits, permei de decider si deux entrees, respectivement deux 
sorties, donnent ou non la meme valeur pour cette variable. 

25 Les attaques dites par analyse d'energie electrique de haut niveau sont une 
generalisation de Tattaque DPA decrite precedemment. Elles peuvent utiliser plusieurs 
sources d'information differentes : outre la consommation, elles peuvent mettre en jeu 
les mesures de rayonnement electromagnetique, de temperature, etc. et mettre en oeuvre 
des traitements statistiques plus sophistiques que la simple notion de moyenne, des 

30 variables intermediaires moins etementaires qu'un simple bit ou un simple octet. 
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Neanmoins, elles reposent exactement sur la meme hypothese fondamentale que la 
DPA. 

Le precede, objet de la presente invention, a pour objet la suppression des risques 
5 d'attaques DPA ou HODPA d'ensembles ou systemes electroniques de cryptographic a 
cle secrete ou privee, faisant intervenir une exponentiation modulaire, dans laquelle 
1'exposant est secret. 

Un autre objet de la presente invention est en consequence une modification du 
10 processus de calcul cryptograph! que mis en oeuvre par les systemes electroniques de 
cryptographie proteges de maniere que I'hypothese fondamentale precitee ne soit plus 
verifiee, a savoir qu'aucune variable intermediate ne depend de la consommation d'un 
sous-ensemble aisement accessible de la cle secrete ou privee, les attaques de type DPA 
ou HO-DPA etant ainsi rendues inoperantes. 
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Premier ex em pie ; Falgorithme RSA 



Le RSA est le plus celebre des algorithmes cryptographiques asymetriques. II a ete 
developpe par Rivest, Shamir et Adleman en 1978. Pour une description plus detaillee 
20 de cet algorithme, on pourra utilement se reporter au document ci-apres : 

• R.L. Rivest, A. Shamir, L.M. Adleman, A Method for Obtaining Digital Signatures 
and Public-Key Cryptosy stems, Communications of the ACM, 21, n°2, 1978, pp. 120- 
126, 

ou aux documents suivants : 
25 • ISO/IEC 9594-8 /ITU-T X.509, Information Technology - Open Systems 
Interconnection - The Directory: Authentication Framework, 

• ANSI X9.31-1, American National Standard, Public-Key Cryptography Using 
Reversible Algorithms for the Financial Services Industry ; 1 993 ; 

• PKCS #1, RSA Encryption Standard, version 2, 1998, disponible a l'adresse 
30 suivante : 

ftp ://ftp . rsa. com/pub/pkcs/doc/pkcs- 1 v2 . doc. 
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L'algorithme RSA utilise un nombre entier n qui est le produit de deux grands nombres 
premiers p et q, et un nombre entier e y premier avec ppcm(p-J t q-J), et tel que e * ± 1 
mod ppcm(p-J,q-J). Les entiers n et e constituent la cle publique. Le calcul en cle 
5 publique fait appel a la fonction g de Z/nZ dans Z/nZ definie par g(x)=x e mod n. Le 
calcul en cle secrete fait appel a la fonction g l (y)=y^ mod w, ou d est Texposant secret 
(appele aussi cle secrete, ou privee) defini par ed = l mod ppcm(p-l,q-l). 

Les attaques de type DPA ou HO-DPA font peser une menace sur les mises en oeuvre 
10 classiques de l'algorithme RSA. En efFet , celles-ci utilisent tres souvent le principe dit 
de square and multiply en langage anglo-saxon pour effectuer le calcul de ^ mod n. 

Ce principe consiste a ecrire la decomposition 

15 d = bn.rT'- 1 + b^Z* 2 -*... + b r 2 ! + b Q 4° 

de Texposant secret d en base 2, puis d' effectuer le calcul de la maniere suivante : 
\. z <— 1 \ 

pour / allant de m-1 jusqu'a 0 faire : 
20 2. z <- z 2 mod n ; 

3. si bt = 1 alors z <-z xx mod w. 

Dans ce calcul, on constate que parmi les valeurs successives prises par la variable z, les 
premieres ne dependent que de quelques bits de la cle secrete d. L'hypothese 

25 fondamentale permettant Tattaque DPA est done realisee. On peut ainsi deviner par 
exemple les 10 bits de poids fort de d en s'interessant aux mesures de consommation 
sur la partie de ralgorithme correspondant a / allant de /w-7 a m-10. On peut ensuite 
continuer Tattaque en utilisant les mesures de consommation sur la partie de 
Talgorithme correspondant a / allant de m-11 a m-20, ce qui permet de trouver les 10 

30 bits suivants de d, et ainsi de suite. On trouve finalement tous les bits de Pexposant 
secret d. 
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Une premiere methode de securisation. et scs inconvenients 

Une methode classique (proposee par Ronald Rivest en 1995) pour proteger 
5 Palgorithme RSA contre les attaques de type DPA consiste a utiliser un principe de 
" blinding " (camouflage). On utilise le fait que : 

^ modn = (xxf) d xf s mod n 

1 0 Ainsi le calcul de>> = it* mod n se decompose en quatre etapes : 

• On utilise un generateur aleatoire pour obtenir une valeur r ; 

• On calcule : u = x xt* modn ; 

• On calcule : v = u d mod n ; 

• On calcule : y = v x f 1 mod n. 

15 

L'inconvenient de cette methode est qu'elle oblige, pour chaque calcul, a calculer 
Tinverse modulaire f s de la valeur aleatoire r, cette operation etant en general couteuse 
en temps (la duree d'un tel calcul est du meme ordre que celle d'une exponentiation 
modulaire telle que u d modri). Par consequent, cette nouvelle implementation (protegee 
20 contre les attaques DPA) du calcul de ^ mod n est environ deux fois plus lente que 
Timplementation initiate (non protegee contre les attaques DPA). En d'autres termes, 
cette protection du RSA contre les attaques DPA accroTt le temps de calcul de 100% 
environ (en supposant que Fexposant public e est tres petit, par exemple e=3 ; si 
Texposant e est plus grand, ce temps de calcul est encore plus grand). 

25 

Une deuxieme methode : le proced6 de la presente invention 

Selon Tinvention, un precede de securisation d'un ensemble electronique mettant en 
oeuvre un processus de calcul cryptographique faisant intervenir une exponentiation 
30 modulaire d'une grandeur (x^, ladite exponentiation modulaire utilisant un exposant 
secret (d) y est caracterise en ce que Ton decompose ledit exposant secret en une 



• 
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pluralite de k valeurs imprevisibles (dj ,d 2 , ,d k ) dont la somme est egale audit 

exposant secret. 

Avantageusement, lesdites valeurs (dj ,d 2 , 4k ) sont obtenues - de la maniere 

5 suivante : 

a) (k-1) valeurs sont obtenues au moyen d'un generateur aleatoire ; 

b) la derniere valeur est obtenue par difference entre T exposant secret et les (k-1) 
valeurs. 

10 Avantageusement, le calcul de T exponentiation modulaire est effectue de la maniere 
suivante : 

a) pour chacune desdites * valeurs, on eleve la grandeur (x) a un exposant 
comprenant ladite valeur pour obtenir un resultat, un ensemble de resultats etant ainsi 
obtenus ; 

15 b) on calcule un produit des resultats obtenus a l'etape a). 

Avantageusement, au moins Pune desdites (k-1) valeurs obtenues au moyen d*un 
generateur aleatoire a une longueur superieure ou egale a 64 bits. 

20 Des details et avantages de la presente invention apparaitront au cours de la 

description suivante de quelques modes d'execution preferes mais non limitatifs, en 
regard de la figure unique annexee, representant une carte a puce. 

Selon Tinvention, on utilise le fait que : 

25 

sid = di + d 2 , alors x d mod n = x l x x 2 mod n 

Ainsi le calcul dcy = x d modn se decompose en cinq etapes : 

• On utilise un generateur aleatoire pour obtenir une valeur dj ; 
30 • On calcule : d 2 = d-dj ; 

• On calcule \ u= x l mod n ; 
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• On calcule : v = x 2 mod n ; 

• On calcule \y = uxv mod n. 

L'avantage est que, de cette maniere, il n*y a pas d'inverse modulaire a calculer. En 
general, le temps de calcul d'une exponentiation modulaire est proportionnel a la taille 
de 1'exposant. Ainsi si on note a le rapport entre la taille de dj et la taille de d 2 , on se 
rend compte que le temps total du calcul dans cette nouvelle implementation (protegee 
contre les attaques DP A) est environ (1+a) fois le temps de calcul dans 
r implementation initiale (non protegee contre les attaques DP A). 

Notons que, pour obtenir une valeur dj non predictable, il est necessaire que sa taille soit 
au moins de 64 bits. 

Le precede ainsi decrit rend inoperantes les attaques de type DPA ou HO-DPA decrites 
precedemment. En efFet, pour decider si deux entrees (respectivement deux sorties) de 
Talgorithme donnent ou non la meme valeur pour une variable intermediate 
apparaissant au cours du calcul, il ne suffit plus de connaltre les bits de cle mis en jeu. II 
faut egalement connaltre la decomposition de la cle secrete d en k valeurs du d 2 , . ., *4 
telles que d=di+d 2 + ... +d k . Si on suppose que cette decomposition est secrete, et qu'au 
moins une des k valeurs a une taille d'au moins 64 bits, Tattaquant ne peut pas prevoir 
les valeurs de d h ... ( d kj et done Thypothese fondamentale, qui permettait de mettre en 
oeuvre une attaque de type DPA ou HO-DPA, n'est plus verifiee. 

Exemples : 

1 . Si n a une longueur de 5 12 bits, en choisissant de prendre une valeur aleatoire dj de 
64 bits, on obtient a=l/8, ce qui fait que cette protection du RSA contre les attaques 
DPA accroit le temps de calcul de 12.5 % environ. 

2. Si n a une longueur de 1024 bits, en choisissant de prendre une valeur aleatoire d } 
de 64 bits, on obtient ce qui fait que cette protection du RSA contre les 
attaques DPA accroit le temps de calcul de 6.25% environ. 



# 
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Deuxieme exemple : Palgorithme de Rabin 

Nous considerons ici I'algorithme crypt ographique asymetrique developpe par Rabin en 
1979. Pour une description plus detaillee de cet algorithme, on pourra utilement se 
5 reporter au document suivant : 

• M O. Rabin, Digitized Signatures and Public-Key Functions as Intractable as 
Factorization, Technical Report LCS/TR-212, M.I.T. Laboratory for Computer 
Science, 1979. 

1 0 L'algorithme de Rabin utilise un nombre entier n qui est le produit de deux grands 
nombres premiers p et q, verifiant en outre les deux conditions suivantes : 

• p est congru a 3 modulo 8 ; 

• q est congru a 7 modulo 8. 

Le calcul en cle publique fait appel a la fonction g de Z/nZ dans Z/nZ definie par 
1 5 g(x)=x? mod w. Le calcul en cle secrete fait appel a la fonction g mi (y)=)f mod w, ou d est 
1'exposant secret (appele aussi cle secrete, ou privee) defini par d=((p-l)(q~l)/4+ 1)/2. 

La fonction mise en jeu par le calcul en cle secrete etant exactement la meme que celle 
utilisee par l'algorithme RSA, les memes attaques DP A ou HO-DPA sont applicables et 
20 font peser les memes menaces sur Talgorithme de Rabin. 

Securisation de 1' algorithme 

Comme la fonction est exactement la meme que celle du RSA, le precede de 
25 securisation decrit dans le cadre du RSA s'applique de la meme maniere au cas de 
ralgorithme de Rabin. L'accroissement du temps de calcul provoque par Tapplication 
de ce precede est egalement le meme que dans le cas de T algorithme RSA. 

30 L'invention peut etre mise en oeuvre dans tout ensemble electronique eflFectuant 

un calcul cryptographique faisant intervenir une exponentiation modulaire, notamment 
une carte a puce 8 selon la figure unique. La puce inclut des moyens de traitement de 




9 

reformation 9, relies d'un cote a uoe memoire non volatile 10 et a une memoire volatile 
de travail RAM 11, et relies d'un autre cote a des moyens 12 pour cooperer avec un 
dispositif de traitement de rinformation. La memoire non volatile 10 peut comprendre 
une partie non modifiable ROM et une partie modifiable EPROM, EEPROM, ou 
constitute de memoire RAM du type "flash" ou FRAM (cette derniere etant une 
memoire RAM ferromagnetique), c'est-a-dire presentant les caracteristiques d'une 
memoire EEPROM avec en outre des temps d'acces identiques a ceux d'une RAM 
classique. 

En tant que puce, on pourra notamment utiliser un microprocesseur 
autoprogrammable a memoire non volatile, tel que decrit dans le brevet americain n° 
4.382.279 au nom de la Demanderesse. Dans une variante, le microprocesseur de la 
puce est remplace - ou tout du moins complete - par des circuits logiques implantes 
dans une puce a semi-conduct eurs. En effet, de tels circuits sont aptes a effectuer des 
calculs, notamment d'authentification et de signature, grace a de 1'electronique cablee, 
et non microprogrammed lis peuvent notamment etre de type ASIC (de 1' anglais 
« Application Specific Integrated Circuit »). Avantageusement, la puce sera con^ue 
sous forme monolithique. 
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RF.VENDICATIONS 



1. Precede de securisation d'un ensemble electronique mettant en ceuvre un processus 
de calcul cryptographique faisant intervenir une exponentiation modulaire d'une 

5 grandeur (x), ladite exponentiation modulaire utilisant un exposant secret (d), 
caracterise en ce que Ton decompose ledit exposant secret en une pluralite de k valeurs 
imprevisibles (d, ,d 2 , d k ) dont la somme est egale audit exposant secret. 

2. Precede selon la revendication 1, caracterise en ce que lesdites valeurs (d, ,d 2 , 

1 0 ,d k ) sont obtenues de la maniere suivante : 

a) (k-1) valeurs sont obtenues au moyen d'un generateur aleatoire ; 

b) la derniere valeur est obtenue par difference entre l'exposant secret et les (k-1) 
valeurs. 

15 3. Precede selon la revendication 1 , caracterise en ce que le calcul de l'exponentiation 
modulaire est effectue de la maniere suivante : 

a) pour chacune desdites k valeurs, on eleve la grandeur (x) a un exposant 
comprenant ladite valeur pour obtenir un resultat, un ensemble de resultats etant ainsi 
obtenus ; 

20 b) on calcule un produit des resultats obtenus a l'etape a). 

4. Precede selon la revendication 1, caracterise en ce qu'au moins l'une desdites (k-1) 
valeurs obtenues au moyen d'un generateur aleatoire a une longueur superieure ou 
egale a 64 bits. 
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5. Utilisation du precede selon la revendication 1 dans une carte a puce comportant 
des moyens de traitement-de rinformation. 



6. Utilisation du precede selon la revendication 1 pour la securisation d'un processus 
30 de calcul cryptographique utilisant ralgorithme RSA. 
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7. Utilisation du precede selon la revendication 1 pour la securisation d'un processus 
de calcul cryptographique utilisant ralgorithme de Rabin. 
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M6moire 
non volatile 
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FIGURE UNIQUE 



